Üzenetsorok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval
Az Azure Storage támogatja a Microsoft Entra ID használatát az adatok várólistára helyezésére irányuló kérések engedélyezéséhez. A Microsoft Entra ID-val azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy biztonsági tagnak, amely lehet felhasználó, csoport vagy alkalmazásszolgáltatás-tag. A biztonsági tagot a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Queue szolgáltatással kapcsolatos kérések engedélyezésére használható.
A Microsoft Entra ID azonosítóval történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A Microsoft azt javasolja, hogy ha lehetséges, használja a Microsoft Entra-hitelesítést az üzenetsor-alkalmazásokkal, hogy biztosítsa a hozzáférést a minimálisan szükséges jogosultságokkal.
A Microsoft Entra-azonosítóval rendelkező engedélyezés minden általános célú tárfiókhoz elérhető az összes nyilvános régióban és nemzeti felhőben. Csak az Azure Resource Manager-alapú üzemi modellel létrehozott tárfiókok támogatják a Microsoft Entra engedélyezését.
Az üzenetsorok Microsoft Entra-azonosítójának áttekintése
Amikor egy biztonsági tag (felhasználó, csoport vagy alkalmazás) megpróbál hozzáférni egy üzenetsor-erőforráshoz, a kérést engedélyezni kell, kivéve, ha névtelen hozzáférésre szolgáló üzenetsor. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat:
Először a rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza.
A hitelesítési lépés megköveteli, hogy egy alkalmazás futásidőben OAuth 2.0 hozzáférési jogkivonatot kérjen. Ha egy alkalmazás egy Azure-entitáson belül fut, például egy Azure-beli virtuális gépről, egy virtuálisgép-méretezési csoportról vagy egy Azure Functions-alkalmazásról, egy felügyelt identitással hozzáférhet az üzenetsor-adatokhoz.
Ezután a rendszer a jogkivonatot egy kérés részeként továbbítja a Queue szolgáltatásnak, és a szolgáltatás a megadott erőforráshoz való hozzáférés engedélyezésére használja.
Az engedélyezési lépéshez egy vagy több Azure RBAC-szerepkört kell hozzárendelni a kérést küldő biztonsági taghoz. További információ: Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz.
Microsoft Entra-fiók használata portállal, PowerShell-lel vagy Azure CLI-vel
Ha tudni szeretné, hogyan férhet hozzá adatokhoz az Azure Portalon Egy Microsoft Entra-fiókkal, tekintse meg az Azure Portalról való adathozzáférést. Az Azure PowerShell- vagy Azure CLI-parancsok Microsoft Entra-fiókkal való meghívásáról további információt a PowerShellből vagy az Azure CLI-ből származó adathozzáférés című témakörben talál.
Hozzáférés engedélyezése az alkalmazáskódban a Microsoft Entra-azonosító használatával
Ha engedélyezni szeretné az Azure Storage-hoz való hozzáférést a Microsoft Entra-azonosítóval, az alábbi ügyfélkódtárak egyikével szerezhet be egy OAuth 2.0-jogkivonatot:
- Az Azure Identity-ügyfélkódtár a legtöbb fejlesztési forgatókönyvhez ajánlott.
- A Microsoft Authentication Library (MSAL) alkalmas lehet bizonyos speciális helyzetekben.
Azure Identity-ügyfélkódtár
Az Azure Identity-ügyfélkódtár leegyszerűsíti az OAuth 2.0 hozzáférési jogkivonat lekérését a Microsoft Entra ID-val való engedélyezéshez az Azure SDK-on keresztül. A .NET, Java, Python, JavaScript és Go Azure Storage-ügyfélkódtárak legújabb verziói integrálhatók az Egyes nyelvek Azure Identity-kódtáraival, így egyszerű és biztonságos módon szerezhetnek be hozzáférési jogkivonatot az Azure Storage-kérelmek engedélyezéséhez.
Az Azure Identity-ügyfélkódtár előnye, hogy lehetővé teszi, hogy ugyanazt a kódot használja a hozzáférési jogkivonat beszerzéséhez, függetlenül attól, hogy az alkalmazás a fejlesztési környezetben vagy az Azure-ban fut. Az Azure Identity ügyfélkódtár egy hozzáférési jogkivonatot ad vissza egy biztonsági tag számára. Ha a kód az Azure-ban fut, a biztonsági tag lehet az Azure-erőforrások felügyelt identitása, egy szolgáltatásnév vagy egy felhasználó vagy csoport. A fejlesztői környezetben az ügyfélkódtár egy hozzáférési jogkivonatot biztosít egy felhasználó vagy egy egyszerű szolgáltatás számára tesztelési célokra.
Az Azure Identity ügyfélkódtár által visszaadott hozzáférési jogkivonatot a rendszer egy jogkivonat hitelesítő adataiba foglalja bele. Ezután a jogkivonat hitelesítő adataival lekérhet egy szolgáltatásügyfél-objektumot, amelyet az Azure Storage-beli engedélyezett műveletek végrehajtásához használhat. A hozzáférési jogkivonat és a token hitelesítő adatainak lekérésének egyszerű módja az Azure Identity ügyfélkódtár által biztosított DefaultAzureCredential osztály használata. A DefaultAzureCredential több különböző hitelesítő adattípus egymás után történő kipróbálásával próbálja lekérni a jogkivonat hitelesítő adatait. A DefaultAzureCredential mind a fejlesztési környezetben, mind az Azure-ban működik.
Az alábbi táblázat további információkra mutat az adatokhoz való hozzáférés engedélyezéséhez különböző forgatókönyvekben:
Microsoft Authentication Library (MSAL)
Bár a Microsoft azt javasolja, hogy lehetőség szerint használja az Azure Identity-ügyfélkódtárat, az MSAL-kódtár alkalmas lehet bizonyos speciális helyzetekben való használatra. További információ: MSAL.
Ha az MSAL használatával szerez be egy OAuth-jogkivonatot az Azure Storage-hoz való hozzáféréshez, meg kell adnia egy Microsoft Entra-erőforrás-azonosítót. A Microsoft Entra erőforrás-azonosítója azt a célközönséget jelzi, amely számára egy kibocsátott jogkivonat használható az Azure-erőforrásokhoz való hozzáférés biztosítására. Az Azure Storage esetében az erőforrás-azonosító egyetlen tárfiókra vonatkozhat, vagy bármely tárfiókra vonatkozhat.
Ha egy adott tárfiókra és szolgáltatásra jellemző erőforrás-azonosítót ad meg, az erőforrás-azonosító egy jogkivonat beszerzésére szolgál, amely csak a megadott fiókra és szolgáltatásra irányuló kérelmek engedélyezésére szolgál. Az alábbi táblázat az erőforrás-azonosítóhoz használandó értéket sorolja fel a használt felhő alapján. Cserélje le a <account-name>
kifejezést a tárfiókja nevére.
Felhőbeli | Erőforrás-azonosító |
---|---|
Azure Global | https://<account-name>.queue.core.windows.net |
Azure Government | https://<account-name>.queue.core.usgovcloudapi.net |
Azure China 21Vianet | https://<account-name>.queue.core.chinacloudapi.cn |
Megadhat egy erőforrás-azonosítót is, amely bármely tárfiókra érvényes, ahogy az az alábbi táblázatban is látható. Ez az erőforrás-azonosító minden nyilvános és szuverén felhő esetében ugyanaz, és egy jogkivonat beszerzésére szolgál a tárfiókokra irányuló kérések engedélyezéséhez.
Felhőbeli | Erőforrás-azonosító |
---|---|
Azure Global Azure Government Azure China 21Vianet |
https://storage.azure.com/ |
Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz
A Microsoft Entra hozzáférési jogosultságokat engedélyez az erőforrások védelméhez az Azure RBAC-en keresztül. Az Azure Storage beépített RBAC-szerepkörök készletét határozza meg, amelyek az üzenetsoradatok eléréséhez használt közös engedélykészleteket foglalják magukban. Egyéni szerepköröket is meghatározhat az üzenetsor-adatokhoz való hozzáféréshez. Ha többet szeretne megtudni az Azure-szerepkörök üzenetsor-hozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök hozzárendelése az üzenetsor-adatokhoz való hozzáféréshez című témakört.
A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz. A rendszerbiztonsági taghoz rendelt RBAC-szerepkörök határozzák meg azokat az engedélyeket, amelyekkel a rendszerbiztonsági tag rendelkezik. További információ az Azure-szerepkörök üzenetsor-hozzáféréshez való hozzárendeléséről: Azure-szerepkör hozzárendelése az üzenetsor-adatokhoz való hozzáféréshez
Bizonyos esetekben szükség lehet az üzenetsor-erőforrások részletes hozzáférésének engedélyezésére vagy az engedélyek egyszerűsítésére, ha nagy számú szerepkör-hozzárendeléssel rendelkezik egy tárerőforráshoz. Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) használatával konfigurálhatja a szerepkör-hozzárendelések feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. További információ az Azure Storage-erőforrások ABAC-vel való konfigurálásáról: Üzenetsorok hozzáférésének engedélyezése Azure-szerepkör-hozzárendelési feltételekkel. Az üzenetsor-adatműveletek támogatott feltételeiről további információt az Azure-üzenetsorok Azure-szerepkör-hozzárendelési feltételeinek műveletei és attribútumai című témakörben talál.
Megjegyzés:
Azure Storage-fiók létrehozásakor a rendszer nem rendeli hozzá automatikusan az adatok Microsoft Entra-azonosítón keresztüli eléréséhez szükséges engedélyeket. Kifejezetten azure-szerepkört kell hozzárendelnie a Queue Storage-hoz való hozzáféréshez. Hozzárendelheti az előfizetés, az erőforráscsoport, a tárfiók vagy az üzenetsor szintjén.
Erőforrás hatóköre
Mielőtt Azure RBAC-szerepkört rendel egy biztonsági taghoz, határozza meg, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak. Az ajánlott eljárások azt diktálják, hogy mindig a lehető legszűkebb hatókört érdemes megadni. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.
Az Azure-üzenetsor-erőforrásokhoz való hozzáférést a legszűkebb hatókörtől kezdve a következő szinteken végezheti el:
- Egy egyéni üzenetsor. Ebben a hatókörben a szerepkör-hozzárendelés az üzenetsorban lévő üzenetekre, valamint az üzenetsor tulajdonságaira és metaadataira vonatkozik.
- A tárfiók. Ebben a hatókörben a szerepkör-hozzárendelés az összes üzenetsorra és üzenetükre vonatkozik.
- Az erőforráscsoport. Ebben a hatókörben a szerepkör-hozzárendelés az erőforráscsoport összes tárfiókjában lévő összes üzenetsorra vonatkozik.
- Az előfizetés. Ebben a hatókörben a szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjában található összes tárfiók összes üzenetsorára vonatkozik.
- Egy felügyeleti csoport. Ebben a hatókörben a szerepkör-hozzárendelés a felügyeleti csoport összes előfizetésének összes erőforráscsoportjában lévő összes tárfiók összes üzenetsorára vonatkozik.
További információ az Azure RBAC-szerepkör-hozzárendelések hatóköréről: Az Azure RBAC hatókörének ismertetése.
Azure beépített szerepkörök üzenetsorokhoz
Az Azure RBAC számos beépített szerepkört biztosít a várólistás adatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID és az OAuth használatával. Néhány példa az Azure Storage-beli adaterőforrások engedélyeit biztosító szerepkörökre:
- Storage-üzenetsoradatok közreműködője: Olvasási/írási/törlési engedélyeket adhat az Azure-üzenetsoroknak.
- Storage-üzenetsoradatok olvasója: Csak olvasási engedélyeket adhat az Azure-üzenetsoroknak.
- Storage-üzenetsoradatok üzenetfeldolgozója: Betekintési, lekérési és törlési engedélyeket adhat az Azure Storage-üzenetsorok üzeneteinek.
- Storage-üzenetsoradatok üzenetküldője: Hozzáadási engedélyeket adhat az Azure Storage-üzenetsorok üzeneteinek.
Ha szeretné megtudni, hogyan rendelhet azure-beli beépített szerepkört egy biztonsági taghoz, olvassa el az Azure-szerepkör hozzárendelése az üzenetsor-adatokhoz való hozzáféréshez című témakört. Az Azure RBAC-szerepkörök és azok engedélyeinek listázásához tekintse meg az Azure-szerepkördefiníciók listáját.
A beépített szerepkörök Azure Storage-hoz való definiálásáról további információt a szerepkördefiníciók ismertetése című témakörben talál. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörökben talál.
Csak az adathozzáféréshez explicit módon definiált szerepkörök teszik lehetővé, hogy a biztonsági tagok hozzáférjenek az üzenetsor-adatokhoz. A beépített szerepkörök, például a Tulajdonos, a Közreműködő és a Tárfiók közreműködője lehetővé teszik, hogy egy biztonsági tag kezelje a tárfiókot, de a Microsoft Entra-azonosítón keresztül nem biztosít hozzáférést a fiók üzenetsoradataihoz. Ha azonban egy szerepkör tartalmazza a Microsoft.Storage/storageAccounts/listKeys/action függvényt, akkor a szerepkörrel rendelkező felhasználók a fiók hozzáférési kulcsaival megosztott kulcsok engedélyezésével férhetnek hozzá a tárfiók adataihoz. További információ: Az üzenetsoradatokhoz való hozzáférés engedélyezése az Azure Portalon.
Az Azure Storage beépített Azure-szerepköreiről az adatszolgáltatásokhoz és a felügyeleti szolgáltatáshoz készült Azure-beli beépített szerepkörökről az Azure RBAC beépített Azure-szerepköreinek Storage szakaszában olvashat. Emellett az Azure-ban engedélyeket biztosító szerepkörök különböző típusaival kapcsolatos információkért tekintse meg az Azure-szerepköröket, a Microsoft Entra szerepköröket és a klasszikus előfizetés-rendszergazdai szerepköröket.
Fontos
Az Azure-szerepkör-hozzárendelések propagálása akár 30 percet is igénybe vehet.
Hozzáférési engedélyek adatműveletekhez
Az adott üzenetsor-szolgáltatásműveletek hívásához szükséges engedélyekkel kapcsolatos részletekért tekintse meg az adatműveletek hívásához szükséges engedélyeket.
Adatok elérése Microsoft Entra-fiókkal
Az üzenetsoradatokhoz való hozzáférés az Azure Portalon, a PowerShellen vagy az Azure CLI-n keresztül a felhasználó Microsoft Entra-fiókjával vagy a fiók hozzáférési kulcsaival (megosztott kulcs engedélyezése) engedélyezhető.
Figyelmeztetés
A megosztott kulccsal való engedélyezés nem ajánlott, mivel kevésbé biztonságos. Az optimális biztonság érdekében tiltsa le a megosztott kulccsal történő engedélyezést a tárfiókhoz, az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című cikkben leírtak szerint.
A hozzáférési kulcsok és a kapcsolati sztring használatát a koncepcióalkalmazások vagy a fejlesztési prototípusok kezdeti ellenőrzésére kell korlátozni, amelyek nem férnek hozzá éles vagy bizalmas adatokhoz. Ellenkező esetben az Azure SDK-ban elérhető jogkivonatalapú hitelesítési osztályokat mindig előnyben kell részesíteni az Azure-erőforrásokhoz való hitelesítéskor.
A Microsoft azt javasolja, hogy az ügyfelek a Microsoft Entra-azonosítót vagy a közös hozzáférésű jogosultságkódot (SAS) használják az Azure Storage-adatokhoz való hozzáférés engedélyezéséhez. További információ: Műveletek engedélyezése adathozzáféréshez.
Adathozzáférés az Azure Portalról
Az Azure Portal használhatja a Microsoft Entra-fiókját vagy a fiók hozzáférési kulcsait egy Azure Storage-fiók üzenetsor-adatainak eléréséhez. Az Azure Portal által használt engedélyezési séma az Önhöz rendelt Azure-szerepköröktől függ.
Az üzenetsoradatok elérésekor az Azure Portal először ellenőrzi, hogy hozzárendelték-e Azure-szerepkört a Microsoft.Storage/storageAccounts/listkeys/action szolgáltatáshoz. Ha ezzel a művelettel szerepkörhöz lett rendelve, akkor az Azure Portal a fiókkulcsot használja az üzenetsor-adatok megosztott kulcs engedélyezésével való eléréséhez. Ha még nem rendelt hozzá szerepkört ezzel a művelettel, akkor az Azure Portal megkísérli elérni az adatokat a Microsoft Entra-fiókjával.
Ha a Microsoft Entra-fiókjával szeretne hozzáférni az üzenetsor-adatokhoz az Azure Portalról, engedélyekre van szüksége az üzenetsor-adatok eléréséhez, és engedélyekre is szüksége van az Azure Portal tárfiók-erőforrásainak navigálásához. Az Azure Storage által biztosított beépített szerepkörök hozzáférést biztosítanak az üzenetsor-erőforrásokhoz, de nem adnak engedélyeket a tárfiók erőforrásaihoz. A portálhoz való hozzáféréshez ezért egy olyan Azure Resource Manager-szerepkör hozzárendelésére is szükség van, amelynek hatóköre legalább a tárfiók szintjére kiterjed (például az Olvasó szerepkör). Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz. Ha többet szeretne megtudni arról, hogyan rendelhet engedélyeket a felhasználókhoz az adathozzáféréshez az Azure Portalon Egy Microsoft Entra-fiókkal, olvassa el az Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez című témakört.
Az Azure Portal jelzi, hogy melyik engedélyezési séma van használatban az üzenetsorra való navigáláskor. A portál adathozzáférésével kapcsolatos további információkért tekintse meg a várólistás adatokhoz való hozzáférés engedélyezésének módját az Azure Portalon.
Adathozzáférés a PowerShellből vagy az Azure CLI-ből
Az Azure CLI és a PowerShell támogatja a Microsoft Entra hitelesítő adataival való bejelentkezést. A bejelentkezés után a munkamenet ezen hitelesítő adatok alatt fut. További információért tekintse meg az alábbi cikkek egyikét:
- Az üzenetsoradatokhoz való hozzáférés engedélyezése az Azure CLI-vel
- PowerShell-parancsok futtatása a Microsoft Entra hitelesítő adataival az üzenetsoradatok eléréséhez